페이스북과 구글의 대표적인 OAuth 방식의 소셜 로그인
전 세계 인구의 1/3 가까이가 '페이스북 여권'을 가지고 있다. 가입자 수 23억 명의 페이스북 계정을 가지고 있다면 모바일 여행지의 상당 수를 별도의 회원 가입 없이도 쉽게 입장할 수 있다. '구글 로그인' 역시 대표적인 '온라인 패스'로 자리잡았다.
접근 위임을 위한 개방형 표준(OpenAPI)인 '공개 인증(OAuth)' 기술 덕분에 사용자는 특정 서비스에 가입하는 불편함을, 사업자는 사용자 정보를 관리해야 하는 부담을 줄일 수 있지만 해당 서비스가 재로그인이나 서비스 관리를 위해 DB에 사용자 정보를 저장하는 경우가 대부분이다. 이 때문에 관리가 취약한 서비스의 경우 개인정보가 무분별하게 이용되거나 계정을 탈취 당하는 사례가 적지 않다.
페이스북과 구글의 공통점은 무엇일까. 전 세계 온라인 광고를 독점하고 있다는 점이다.
◇ 애플 로그인, 사용자 정보 제공에 엄격한 기준
애플은 최근 세계개발자회의(WWDC 2019)에서 애플 사용자를 위한 새로운 SSO(Single Sign-On) 서비스를 도입한다고 발표해 페이스북과 구글을 긴장하게 만들었다.
'애플 로그인(Sign in with Apple)'으로 불리는 새로운 서비스는 애플에 제공하는 최소한의 데이터와 애플 내부에 수집된 모든 데이터를 격리시켜 다른 목적으로 사용할 수 없도록 하고, 데이터 수집을 철저히 차단하는 것으로 목적으로 한다. 업계에서는 특히 모든 iOS 앱에 필수 적용되는 서비스이기 때문에 앱 생태계에 있는 페이스북과 구글에게도 적지 않은 영향을 줄 것으로 보고 있다.
국내 대표적 SSO 서비스인 네이버와 카카오 로그인 역시 규모는 다르지만 직간접적인 영향이 예상된다.
애플의 로그인 서비스 발표는 다소 뜬금 없지만 최근 메시지(iMessage) 암호화, 브라우저(사파리) 외부 추적 차단 등 최근 프라이버시를 잇달아 강화해온 점을 돌이켜보면 이해되는 부분이기도 하다. 주목할 점은 기존 방식이 사용자 데이터를 무단 수집하려는 외부 공격자로부터의 차단인 반면 애플 로그인은 비교적 깨끗한 애플 앱 생태계를 상대로 한다는 점이다.
케임브리지 애널리틱스 앱의 페이스북 이용자 개인정보 대규모 유출 사건에서 보듯 인증된 앱에서 조차 발생할 수 있는 부정행위를 사전에 차단하겠다는 의도로 풀이된다.
■애플 SSO는 어떻게 작동하나= 애플 SSO 시스템은 페이스북과 구글이 사용하는 OAuth와 정확히 같은 형식은 아니지만, 애플은 중간자 공격으로부터 데이터를 보호하면서 써드파티가 로그인을 검증할 수 있도록 하는 OAuth와 유사한 방식이라고 말한다.
OAuth 방식의 기존 소셜 로그인 사용자는 대가로 이름과 아이디, 성별, 이메일, 접속 및 사용 시간 등 민감한 개인 정보를 제공해야 한다. 앞으로 iOS 앱 개발자는 사용자의 이메일을 알지 못하며 제 3자가 사용자의 활동을 추적하거나 수집할 수 없도록 차단 장치가 중간에 추가된다.
이름이나 이메일 주소 등을 요구한 경우에도 사용자가 직접 비공개 선택할 수 있고, 대신 독특한 무작위 이메일 주소를 생성하는 등 고유 식별 정보만을 제공한다. 여기에 페이스ID 또는 터치ID, 6자리 코드를 이용한 안전장치가 더해진다.
애플은 사용자에 대한 활동 데이터를 이용하지 않는다고 했지만 단순하게 보면 구글이나 페이스북에 대한 신뢰를 애플로 옮기는 것이다.
■안드로이드와 웹앱도 지원하나= 해결책은 있지만 완벽하지는 않다. 애플 로그인은 사실 애플 사용자를 위한 기능이다.
매끄럽지는 않지만 우회적인 방법으로 가능하다. 아이폰, 아이패드와 같은 애플 장치에서 앱 등록 이후 안드로이드 스마트폰과 같은 비애플 장치에서 앱을 사용하려는 경우 '웹 보기'로 전환된다. 여기에 애플 로그인 화면이 나타나고 애플 아이디와 비밀번호를 입력해야 로그인을 할 수 있다. 웹앱 역시 마찬가지다.
이 옵션은 자바스크립트 기반이기 때문에 '애플 자바스크립트 로그인(Sign In with Apple JS)'으로 불린다.
■ 현재 페북·구글 로그인을 애플 로그인으로 전환하려면= 애플은 고객이 페이스북이나 다른 로그인 옵션에서 애플ID로 전환할 수 있는 직접적인 방법을 제공하지 않는다. 대신 이 해법을 앱 개발자에게 맡긴다. 애플 로그인 전환 문제를 사용자가 고민할 필요는 없다.
애플의 입장은 사용자가 소셜로그인 사용을 중단할 수 있는 방법을 항상 제공해야 한다는 것이다. 과거 제3자 로그인 대신 이메일로만 로그인 할 수 있는 방법을 개발자가 제공했다. 주로 계정 삭제나 앱내 개인정보 접근 기능을 차단하는데 유용한 방식이다.
애플 로그인에 제공되는 무작위 이메일 주소
◇ 무분별한 개인정보 수집·활용 '관행' 바뀔까페이스북과 구글은 이같은 SSO를 이용해 사용자 프로필을 만들고 타겟팅 광고에 활용해왔다. 광고가 아닌 제품과 서비스 판매가 주력인 애플은 사용자나 앱 활동 데이터를 수집하지 않는다고 밝혔다.
페이스북이나 구글 로그인이 보다 범용적이고 쉬운 사용이 가능하다고 생각할 수 있지만 닉네임이나 생일, 출신지역 등의 개인을 특정할 수 있는 상당한 정보를 요구한다. 이들 정보의 일부는 사용자가 금융거래에 사용하기도 하기 때문에 유출될 경우 큰 문제로 이어질 수 있다.
Wi-Fi 및 블루투스에서 내 위치 정보를 요청할 때마다 어느 앱이 사용자의 허가를 받아야하는지도 선택할 수 있어, 앱과 웹 사이트에 대한 접근 권한을 사용자가 보다 강력하게 통제할 수 있다는 점에서 사용자에게 분명 유리한 방식이다. 다만, 애플 장치 및 서비스 사용자여야 가능하고 당장 애플 생태계 이상으로 확대하는데 제한적인 것은 아쉬운 부분이다.
이같은 방식이 무료로 서비스를 이용하는 대가로 민감한 개인정보를 제공해야 했던 관행에서 벗어나고 프라이버시 강화로 이어질 수 있겠지만, 광고 수익 의존도가 높은 페이스북과 구글이 이같은 방향성을 따르기는 어려울 것이라는 전망이 나온다.
하지만 페이스북과 구글은 앞으로 트렌드와 소비에 민감한 애플 사용자의 데이터를 수집하기 어려워진다.
국내 보안업계 관계자는 "소셜 로그인과 같은 편한 방법이 모바일 접근성을 크게 높인 측면이 없지 않지만 불필요한 개인정보, 민감한 개인정보까지 제공을 요구하는 경우도 많다"며 "프라이버시에 대한 소비자의 민감성이 커지고 있어 애플의 SSO 도입은 사용자 신뢰도를 더 높이는 계기가 될 것"이라고 평가했다.